Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Ransomware VECT 2.0 Ransomware

VECT 2.0 Ransomware

Nga MezoRansomware
Përkthe në:

Operacioni kriminal kibernetik i njohur si VECT 2.0 paraqitet si ransomware, megjithatë analiza teknike tregon sjellje shumë më të afërt me një fshirës të të dhënave. Një defekt i rëndë në zbatimin e tij të enkriptimit në variantet e Windows, Linux dhe ESXi e bën të pamundur rikuperimin e skedarëve, madje edhe për operatorët që qëndrojnë pas sulmeve.

Për skedarët më të mëdhenj se 131 KB, të cilët përfshijnë shumicën e të dhënave kritike për ndërmarrjet, programi keqdashës nuk ofron enkriptim të rikuperueshëm. Në vend të kësaj, ai shkatërron përgjithmonë të dhënat e nevojshme për restaurim. Si rezultat, pagesa e shpërblimit nuk ofron asnjë rrugë realiste për rikuperim.

Në çdo incident të VECT 2.0, negocimi nuk duhet të konsiderohet si një strategji korrigjimi. Nuk ka një dekriptues funksional për të ofruar, sepse informacioni i kërkuar për të ndërtuar një të tillë eliminohet gjatë ekzekutimit. Prioritetet mbrojtëse duhet të përqendrohen në kopjet rezervë jashtë linje, planet e validuara të rimëkëmbjes, përmbajtjen e shpejtë dhe qëndrueshmërinë e biznesit.

Një operacion RaaS në rritje me partneritete kriminale

VECT fillimisht u lançua si një program Ransomware-as-a-Service (RaaS) në dhjetor 2025 dhe që atëherë është riemërtuar si VECT 2.0. Portali i tij i internetit të errët reklamon modelin 'Exfiltration / Enkription / Extortion', duke sinjalizuar një qasje të trefishtë të zhvatjes.

Filialeve të reja thuhet se u ngarkohet një tarifë hyrjeje prej 250 dollarësh në monedhën Monero (XMR). Megjithatë, aplikantët nga vendet e Komonuelthit të Shteteve të Pavarura (CIS) janë të përjashtuar, duke sugjeruar rekrutim të synuar nga ai rajon.

Grupi ka krijuar gjithashtu partneritete me BreachForums dhe kolektivin e hakerave TeamPCP. Ky bashkëpunim duket se është projektuar për të thjeshtuar operacionet e ransomware, për të ulur barrierat për bashkëpunëtorët e rinj dhe për të përdorur të dhënat e vjedhura më parë për sulme të mëtejshme.

Kombinimi i vjedhjes së kredencialeve në zinxhirin e furnizimit, operacioneve të organizuara të bashkëpunëtorëve dhe mobilizimit kriminal të bazuar në forume pasqyron një ekosistem gjithnjë e më të industrializuar të ransomware-it.

Numri i viktimave mbetet i ulët pavarësisht pretendimeve të guximshme

Pavarësisht markës agresive, faqja e rrjedhjes së informacionit të VECT 2.0 thuhet se liston vetëm dy viktima, të dyja dyshohet se janë kompromentuar përmes sulmeve të zinxhirit të furnizimit të lidhura me TeamPCP.

Grupi fillimisht pretendoi se përdorte ChaCha20-Poly1305 AEAD, një metodë enkriptimi më të fortë të autentifikuar. Megjithatë, shqyrtimi teknik zbuloi përdorimin e një shifre më të dobët të paautentifikuar që nuk kishte mbrojtje të integritetit, duke ngritur dyshime serioze si në lidhje me aftësinë ashtu edhe me besueshmërinë.

Dështimi i Enkriptimit që Shkatërron të Dhënat

E meta më kritike e malware-it qëndron në mënyrën se si i përpunon skedarët më të mëdhenj se 131,072 bajt. Në vend që të enkriptojë në mënyrë të sigurt të dhënat e rikuperueshme, ai e ndan çdo skedar të madh në katër pjesë dhe e enkripton çdo seksion duke përdorur nonce të veçanta 12-bajtëshe të gjeneruara rastësisht.

Vetëm nonset e fundit ruhen me skedarin e enkriptuar. Tre nonset e para, të nevojshme për të dekriptuar pjesën më të madhe të skedarit, gjenerohen, përdoren një herë dhe hidhen përgjithmonë. Ato nuk ruhen lokalisht, nuk shkruhen në regjistër dhe as nuk i dërgohen operatorit.

Meqenëse metoda ChaCha20-IETF kërkon si çelësin e saktë 32-bajtësh ashtu edhe nonce-in përkatës për deshifrim, tre të katërtat e para të secilit skedar të prekur bëhen të pakthyeshme. Kjo do të thotë që VECT 2.0 funksionon në mënyrë operative si një fshirës shkatërrues i fshehur pas mesazheve të ransomware-it.

Varianti i Windows: Karakteristika të Avancuara, Ekzekutim i Dobët

Versioni për Windows është më i pasur me funksione dhe synon:

  • Disqet lokale, mediat e lëvizshme dhe ruajtja e aksesueshme e rrjetit
  • 44 mjete sigurie dhe debugging përmes kontrolleve anti-analizë
  • Mekanizmat e qëndrueshmërisë së modalitetit të sigurt
  • Shabllone skriptesh ekzekutimi në distancë për lëvizje anësore

Kur niset me --force-safemode, programi keqdashës konfiguron rinisjen e ardhshme në Modalitetin e Sigurt të Windows dhe shton rrugën e tij të ekzekutueshme në Regjistrin e Windows në mënyrë që të ekzekutohet automatikisht pas rinisjes në një mjedis me siguri të reduktuar.

Është interesante se, megjithëse varianti i Windows përmban mekanizma zbulimi dhe shmangieje të mjedisit, këto rutina thuhet se nuk thirren kurrë. Kjo mund t'u lejojë mbrojtësve të analizojnë mostrat pa shkaktuar përgjigje të fshehta.

Variantet Linux dhe ESXi zgjerojnë sipërfaqen e kërcënimeve

Versioni ESXi kryen kontrolle të gjeofencimit dhe anti-debugging përpara se të fillojë enkriptimin. Ai gjithashtu përpiqet të lëvizë anash përmes SSH. Varianti i Linux ndan të njëjtën bazë kodi si mostra ESXi, por përfshin më pak aftësi.

Kjo mbështetje ndërplatformore i jep VECT 2.0 potencial të gjerë synimi kundër mjediseve të ndërmarrjeve, veçanërisht atyre që mbështeten në virtualizim dhe sisteme operative të përziera.

Gjeofencimi i pazakontë i CIS ngre pyetje

Përpara se të enkriptojë sistemet, programi keqdashës kontrollon nëse po funksionon në një vend të CIS-it. Nëse po, ekzekutimi ndalet. Vlen të përmendet se Ukraina thuhet se është ende e përfshirë në këto përjashtime, një sjellje e pazakontë pasi shumë grupe programesh ransomware e hoqën Ukrainën nga listat e përjashtimeve të CIS-it pas vitit 2022.

Janë propozuar dy shpjegime të mundshme:

  • Malware mund të jetë gjeneruar pjesërisht duke përdorur modele të inteligjencës artificiale të trajnuara mbi të dhëna gjeopolitike të vjetruara.
  • Zhvilluesit mund të kenë ripërdorur një bazë kodi më të vjetër të ransomware pa përditësuar logjikën rajonale.

Shenjat e operatorëve të papërvojë

Edhe pse VECT 2.0 e tregton veten si një kërcënim i rafinuar shumëplatformësh me rekrutim bashkëpunëtorësh, partneritete në zinxhirin e furnizimit dhe markë profesionale, ekzekutimi teknik tregon një histori të ndryshme.

Vlerësimi i sigurisë sugjeron që operatorët kanë më shumë gjasa të jenë aktorë kërcënimesh fillestarë sesa zhvillues të ransomware-it me përvojë. Mundësia që pjesë të malware-it të jenë prodhuar ose ndihmuar nga kodi i gjeneruar nga inteligjenca artificiale nuk mund të përjashtohet.

Vlerësimi Ekzekutiv i Sigurisë

VECT 2.0 tregon se si ransomware-et me pamje të rrezikshme mund të jenë ende teknikisht të gabuara. Infrastruktura, partneritetet dhe marka e tij krijojnë imazhin e një ndërmarrjeje serioze kriminale, por dështimi i dizajnit të enkriptimit e minon tërësisht modelin e zhvatjes.

Për mbrojtësit, mësimi është i qartë: përqendrohuni te qëndrueshmëria, rezervat, segmentimi dhe reagimi i shpejtë ndaj incidenteve. Në një sulm VECT 2.0, pagesa nuk blen rikuperimin, ajo vetëm vjen pas shkatërrimit.

Në trend

Më e shikuara

Po ngarkohet...